Jump to content
alexbs_new

Настройка сетевого экрана KES 10 для подключений из-за NAT

Recommended Posts

Добрый день. Имеется большая корпоративная сеть, объединяющая подсети филиалов. В одной подсети есть сервер для хранения данных с расшаренными папками, защищённый KES 10. Сегодня неожиданно отвалился доступ к общим папкам на этом сервере для компьютеров из смежных подсетей. Виновником оказался сетевой экран, при его отключении всё заработало. Но совсем его отключать кажется неправильным, поэтому я внес в сетевой экран пакетное правило, в котором разрешил доступ к серверу компьютерам по списку их ip адресов, благо  таких машин не очень много. Загвоздка возникла с компьютерами, выходящими в свою корпоративную сеть через NAT из сети типа 192.168.х.х. Они получают свои адреса из DHCP. Попытки создать правило, разрешающее вход на сервер по их  ip адресам, ip адресам NAT роутера, даже по МАС адресам сетевых карт этих компьютеров ни к чему не привели. Прошу совета - как составить пакетное правило сетевого экрана для разрешения допуска этих компьютеров к общим папкам сервера. Кстати, на другие сервера в подсети с сервером хранения данных, также с KES 10, доступ у всех компьютеров остался. Никаких сетевых атак из подсетей компьютеров с отвалившимся доступом в отчётах KES на сервере не зафиксировано. В событиях  Kaspersky Event Log на сервере также ничего примечательного нет.

Share this post


Link to post

Здравствуйте,

Цитата

Виновником оказался сетевой экран, при его отключении всё заработало

Правильно ли я понимаю, что виновником оказался сетевой экран KES10 на самом сервере?

Спасибо!

Share this post


Link to post
10 часов назад, alexbs_new сказал:

Да именно так.

 

Добрый день!

Приложите пожалуйста экспорт активной политики, где происходит управление правилами фаервола 

Спасибо!

Share this post


Link to post

Добрый день. С наступающим праздником. Политику приложил, но она сетевым экраном не управляет, насколько я понимаю. Сетевой экран настраивается локально на сервере.

Активная политика.klp

Share this post


Link to post

Здравствуйте!

Приложите пожалуйста локальные настройки сетевого экрана. 

Спасибо!

Share this post


Link to post

Здравствуйте!

Настройки экрана на сервере.

Да, в правило "Доступ к диску Z", в список удалённых адресов, на скриншоте не видно, добавлены адреса хоста внутренней сети на 192.168.1 и NAT роутера - внутренний на 192.168.1 и внешний на 10. Как я писал в первом посте - приведенная конфигурация не работает.

Doc1.doc

Edited by alexbs_new

Share this post


Link to post
7 часов назад, alexbs_new сказал:

Здравствуйте!

Настройки экрана на сервере.

Да, в правило "Доступ к диску Z", в список удалённых адресов, на скриншоте не видно, добавлены адреса хоста внутренней сети на 192.168.1 и NAT роутера - внутренний на 192.168.1 и внешний на 10. Как я писал в первом посте - приведенная конфигурация не работает.

Doc1.doc

Добрый день!

Правильно ли я понимаю, что при отключении данного правила соединение работает без проблем?

Спасибо!

Share this post


Link to post

Правило "Доступ к диску Z" позволяет подключаться к общему диску пользователей из смежных подсетей. Но не позволяет подключаться пользователям из удалённых подсетей за NAT. Правило 16 - это набросок, оно ничем не помогло для таких пользователей. Да ещё, не уточнил, виноват, принял за очевидное. Пользователи из-за NAT ранее подключались к общему диску через VPN, развернутый на этом сервере, но с недавнего времени (с прошлой недели)  сетевой экран на сервере перестал пускать на общий диск всех удалённых пользователей. Для пользователей, подключающихся из смежных подсетей (адреса. начинающиеся на 10), помогло создание правила "Доступ к диску Z". А для VPN пользователей, подключающихся к общей сети через NAT (адреса на 192.168) правило сетевого экрана создать не удаётся. Не знаю, какие адреса вводить в это правило. При отключении сетевого экрана на сервере всё работает для всех пользователей.

Edited by alexbs_new

Share this post


Link to post
14 часов назад, alexbs_new сказал:

Правило "Доступ к диску Z" позволяет подключаться к общему диску пользователей из смежных подсетей. Но не позволяет подключаться пользователям из удалённых подсетей за NAT. Правило 16 - это набросок, оно ничем не помогло для таких пользователей. Да ещё, не уточнил, виноват, принял за очевидное. Пользователи из-за NAT ранее подключались к общему диску через VPN, развернутый на этом сервере, но с недавнего времени (с прошлой недели)  сетевой экран на сервере перестал пускать на общий диск всех удалённых пользователей. Для пользователей, подключающихся из смежных подсетей (адреса. начинающиеся на 10), помогло создание правила "Доступ к диску Z". А для VPN пользователей, подключающихся к общей сети через NAT (адреса на 192.168) правило сетевого экрана создать не удаётся. Не знаю, какие адреса вводить в это правило. При отключении сетевого экрана на сервере всё работает для всех пользователей.

Добрый день!

Правильно ли я понимаю, что VPN заменили на NAT?

Попробуйте в правиле настройку не по адресам а по доверенным сетям и внесите сеть в доверенную (судя по скриншоту вы уже внесли)

Так же поднимите правило в верх списка.

Спасибо!

Share this post


Link to post

Вчера через два часа после включения сетевого экрана стали отключаться от общих папок на сервере пользователи локальной сети, причём в произвольном порядке. Хотя для локальной сети в сетевом экране разрешено всё и это правило стоит высоко. Похожая история была в позапрошлом году, когда в сети гулял вирус Miner.gen, тогда KES на сервере блокировал хосты на час, как источники сетевых атак. Но сейчас в отчётах KES никаких сетевых атак не зафиксировано. И доступ к общим папкам восстановился после отключения сетевого экрана на сервере. Думаю, что в выходные дни будет целесообразно попробовать снести KES полностью и установить заново чистый.

Share this post


Link to post

Всем доброго дня. Сейчас обнаружил, что в среду-четверг на прошлой неделе с центрального сервера KSC спустили новую политику, где сетевой экран включён, но не ограничивает сети с частными адресами. Таким образом, я могу писать в настройках сетевого экрана сервера всё, что угодно, политика будет это перекрывать. Таким образом поставленный в теме вопрос теряет актуальность. Если не будет подключения к серверу - будем обращаться  в техподдержку Касперского при Департаменте. Спасибо за уделённое время. Жаль только, что осталось непонятным в чём был глюк. 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.